Bane NOR SF Postboks 4350 2308 HAMAR Att.: Postboks 7113 St. Olavs plass NO-0130 Oslo Besøksadresse: Karl Johans gate 41 B, Oslo Telefon: 22 99 59 00 Telefaks: 22 99 59 03 post@sjt.no www.sjt.no Saksbehandler: Tone Gotheim, 22995948 Vår ref.: 12/2268-170 Deres ref.: Dato: 15.12.2017 Orientering om endring i sikringsforskriften 3-4 «Taushetsplikt» med ikrafttredelse 01.01.2018 Statens jernbanetilsyn fastsatte den 07.12.2017 forskriftsendringen som trer i kraft 01.01.2018. Endret forskrift med oppdaterte kommentarer vil bli lagt ut på www.sjt.no etter nyttår. Nyhetssak om endringen med link til endringsforskriften er allerede lagt ut på nettsiden. Det vises videre til høring av 16.10.2017 om forslaget til forskriftsendringen. Sikringsforskriften 3-4 har fra 01.01.2018 nye bestemmelser i nytt annet og tredje ledd. Det gis i annet ledd adgang til å videreformidle informasjon som er underlagt taushetsplikt etter 3-4 første ledd når dette er nødvendig for å oppfylle sikringsforskriftens formål. Taushetsplikten vil da gjelde tilsvarende for den som mottar informasjonen, jf. tredje ledd. For å sette de nye bestemmelsene i riktig sammenheng, omtales de øvrige bestemmelsene i 3-4 først. 1. Bestemmelsene i første og siste ledd Taushetsplikten etter 3-4 første ledd gjelder informasjon som beskriver sårbarheter som lar seg utnytte til uønskede hendelser som terror. Det er derfor avgjørende for oppfyllelse av forskriftens formål å sikre at slik informasjon ikke blir gjort tilgjengelig for uvedkommende. Sikringsforskriften 3-4 første og siste ledd lyder som følger: Enhver som utfører tjeneste eller arbeid - for den som driver jernbanevirksomhet, har taushetsplikt om - det vedkommende får vite om informasjon jernbanevirksomheten har funnet det nødvendig å skjerme etter 3-3. - Det samme gjelder informasjon vedkommende får vite om i tjenesten eller arbeidet som det er nødvendig å skjerme etter 3-3.
Taushetsplikten gjelder også etter at vedkommende har avsluttet arbeidet eller oppdraget. Det innebærer blant annet at ansatte i jernbanevirksomhetene har taushetsplikt om det vedkommende får vite om 1) informasjon jernbanevirksomhetene har skjermet og om 2) informasjon som det er nødvendig å skjerme. Det gjelder også eventuell slik informasjon som mottas fra sikringsutvalget. Slik informasjon kalles heretter skjermet informasjon. Taushetsplikten gjelder informasjon uavhengig av i hvilken form den befinner seg i. Den gjelder blant annet muntlig, skriftlig og elektronisk informasjon. Den gjelder også kompromitterende informasjon som svakheter og sammenstillinger av informasjon fra et eller flere jernbanevirksomheter og/eller etater som faller inn under 3-3, som det vil være nødvendig å beskytte. Taushetsplikten i første ledd anses å omfatte også enhver leverandør av varer og tjenester som har oppdrag for den som driver jernbanevirksomhet. Disse leverandørene har med andre ord lovbestemt taushetsplikt etter første ledd. Jernbanevirksomheten må gjøre leverandøren kjent med taushetsplikten, for eksempel gjennom kontrakt og kan kreve taushetserklæring. Jernbanevirksomhet må også sikre at taushetsplikten for leverandører er minst like streng som for egne ansatte, jf. 2-2 annet og 3-1 fjerde ledd med kommentarer. Bestemmelser og erklæringer om taushetsplikt etter 3-4 må være dekkende for taushetsplikten i 3-4. Det innebærer blant annet at de må inneholde begge alternativene som fremgår av første ledd første og annet punktum, og at de ikke kan inneholde unntak. Taushetsplikten må gjelde også etter at vedkommende har avsluttet arbeidet eller oppdraget, herunder etter kontraktens opphør. Bestemmelsen og erklæringen om taushetsplikt bør vise til 3-4. Når det gjelder skjermet informasjon etter 3-3 annet punktum, har jernbanevirksomheten i tillegg til overholdelse av taushetsplikten, en plikt til å underlegge denne informasjonen nødvendig kontroll. Det vises i den forbindelse til kommentarene til 3-3 annet punktum: «Nødvendig kontroll av slik informasjon vil blant annet omfatte systemer og rutiner for nødvendig avskjerming, beskyttelse og tilgangskontroll, herunder tiltak mot avlytting og manipulering. Videre omfattes systemer og prosedyrer for merking, oppbevaring, bruk, distribusjon og tilintetgjøring. Informasjon som håndteres av leverandører skal være underlagt tilsvarende kontroll.» Jernbanevirksomheten må med andre ord også sikre seg at leverandøren har tilstrekkelig ivaretakelse av kravet. Det kan gjennomføres ved at leverandøren forplikter seg til å følge jernbanevirksomhetens egne rutiner m.v. eller ved at jernbanevirksomheten forsikrer seg om at leverandøren har tilstrekkelige rutiner m.v., se 2-2 annet og 3-1 fjerde ledd med kommentarer. Leverandørens skjermingsrutiner mv. må være minst like streng som for jernbanevirksomhetens egne ansatte på sikringsområdet. Taushetsplikten innebærer både en passiv plikt til å tie og en aktiv plikt til å hindre at uvedkommende får tilgang til taushetsbelagt informasjon. Det er i utgangspunktet forbudt å gi informasjon som det er nødvendig å skjerme etter sikringsforskriften, til personer som ikke er underlagt taushetsplikt etter 3-4 første ledd. Og selv overfor disse er det forbudt å gi Side 2 av 5
informasjon videre i større utstrekning enn det som er nødvendig for å ivareta plikter etter sikringsforskriften og dens formål, jf. 1-1 innenfor dens virkeområde, jf. 1-2. Det tas forbehold om eventuelle aktuelle bestemmelser om opplysningsplikt. For å kunne begrense taushetsplikten, må vedkommende opplysningsplikt være pålagt i medhold av lovbestemmelse. Bestemmelsen om opplysningsplikt må i tillegg fastsette eller klart forutsette at taushetsplikten ikke skal gjelde. Tilsynet har pr. i dag ikke identifisert noen relevante slike bestemmelser. 2. Bestemmelsen i annet ledd Sikringsforskriften inneholder bestemmelser som kan nødvendiggjøre dialog eller samarbeid mellom for eksempel jernbanevirksomheter og tredjeparter. For å overholde disse bestemmelsene kan det være aktuelt og nødvendig å dele skjermet informasjon med noen som i utgangspunktet ikke er underlagt taushetsplikt etter første ledd. Ifølge annet ledd kan taushetsbelagt informasjon etter første ledd gis til andre «når det er nødvendig for å oppfylle sikringsforskriftens formål.» Det er med andre ord et vilkår at formidlingen er nødvendig i arbeidet for å unngå tilsiktede uønskede handlinger og begrense konsekvensene av dem. For jernbanevirksomheten vil det typisk gjelde oppfyllelse av konkrete plikter etter sikringsforskriften. Tilsynet har identifisert tre aktuelle bestemmelser i den forbindelse. Sikringsutvalget skal etter 2-3 bestå av representanter fra utvalgte jernbanevirksomheter, og politiet kan delta. Politiet har ikke taushetsplikt etter første ledd. Det følger av sikringsutvalgets ansvarsområde etter 2-3 første ledd at det kan være aktuelt for medlemmene å gi eller motta informasjon som er taushetsbelagt etter 3-4 første ledd. Det kan med andre ord være nødvendig å gi taushetsbelagt informasjon til politiet for å kunne utføre sikringsutvalgets oppgaver. Videre kan det bli aktuelt for jernbanevirksomheten å dele skjermet informasjon med Nasjonal sikkerhetsmyndighet, Direktoratet for samfunnssikkerhet og beredskap, Norges vassdrags- og energidirektorat, Nasjonal kommunikasjonsmyndighet og Etterretningstjenesten. Det gjelder bestemmelsene om samordning av beredskapen med andre offentlige myndigheter ( 4-3 fjerde ledd), og gjennomføring av nødvendige tiltak for håndtering av risikoer eventuelt i samarbeid med tredjeparter ( 6-2 første ledd annet punktum). Det kan også bli nødvendig for jernbanevirksomheten å avgi informasjon om blant annet sikringstiltak til andre tredjeparter. For tilsynet kan det bli nødvendig å avgi taushetsbelagt informasjon til de samme myndighetene i forbindelse med oppfølgning av jernbanevirksomhetens oppfyllelse av sikringsforskriften, se blant annet jernbaneloven 11 siste ledd. Vilkåret «når det er nødvendig for å oppfylle forskriften formål» innebærer imidlertid også en sikkerhetsventil for eventuelle andre spesielle tilfeller, hvor det er nødvendig for jernbanevirksomhetene å gi taushetspliktbelagt informasjon til andre eller for å oppfylle andre bestemmelser i forskriften. Det samme gjelder for tilsynet i forbindelse med tilsyn med forskriften. Det er viktig at taushetsplikten ikke uthules ved anvendelse av unntaksbestemmelsen i annet ledd. Det må foretas en konkret vurdering av nødvendigheten i det enkelte tilfelle. Avgivelse av skjermet informasjon skal uansett ikke skje i større utstrekning enn det som er strengt nødvendig for å ivareta oppfyllelse av vedkommende bestemmelse(r) i sikringsforskriften. Det gjelder vurderingen av om det er nødvendig å gi slik informasjon overhodet, hvilke opplysninger, Side 3 av 5
for eksempel i et dokument eller en fil, avgivelsen skal begrenses til og til hvem opplysningene skal gis. En anmodning om å gi opplysninger må begrunne hvorfor dette anses nødvendig. Det er opp til jernbanevirksomheten som mottaker av anmodningen å vurdere spørsmålet om avgivelse av informasjon i det konkrete tilfellet. Avgiver skal dokumentere begrunnelsen for å formidle informasjonen, f.eks. i et oversendelsesbrev eller i et notat. 3. Bestemmelsen i tredje ledd Ifølge tredje ledd gjelder taushetsplikten etter første ledd tilsvarende for den som mottar informasjon i medhold av annet ledd, dersom vedkommende ikke selv har like streng eller tilsvarende taushetsplikt etter annen lov. Den som gir informasjonen skal før eller ved overlevering gjøre mottakeren oppmerksom på dette. Avgivelse etter bestemmelsen i annet ledd forutsetter også at det foretas risikoreduserende tiltak i form av bevisstgjøring om informasjonens sensitive art og betryggende rutiner ved slik utveksling. Skjermet informasjon etter 3-3 skal være merket. Virksomheten skal videre ha etablert prosedyrer for håndtering av slik informasjon som skal inneholde rutiner/bestemmelser for oppbevaring, bruk, distribusjon og tilintetgjøring. Dette fremgår som nevnt ovenfor i punkt 1, av 3-3 annet punktum med kommentarer. Det kan kreves at mottakeren signerer en taushetserklæring. For å sikre at informasjonen er underlagt «nødvendig kontroll» etter 3-3 annet punktum også etter overlevering, må avgiveren også gjøre mottakeren kjent med sine prosedyrer for dette. De kan vises til i og vedlegges taushetserklæringen. Den som gir informasjonen skal følge følgende rutine ved avgivelse av taushetsbelagt informasjon: - dersom noen anmoder om avgivelse av informasjon: kreve at anmoder begrunner hvorfor avgivelse av informasjon anses nødvendig - dokumentere sin egen begrunnelse for avgivelse - forsikre seg om at informasjon som er skjermet eller skal skjermes etter 3-3 jf. 3-4 er merket før overlevering og - gjøre mottakeren oppmerksom på at informasjonen er skjermet, taushetsbelagt etter 3-4, på avgivers rutiner for slik skjerming etter 3-3 og at informasjonen ikke kan brukes til andre formål. Side 4 av 5
Ved at denne informasjonen er merket og vedkommende gjøres oppmerksom på 3-4 og prosedyrene, gjøres mottaker oppmerksom på at informasjonen er sensitiv. Ta gjerne kontakt ved spørsmål. Med hilsen Karianne Dahl-Nilsen Avdelingsdirektør, Juridisk Dokumentet er elektronisk godkjent og sendes uten signatur Kopi til: Samferdselsdepartementet Postboks 8010 Dep 0030 OSLO Side 5 av 5